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(54) Ausfallslcheres Bussystem 



(57) Gegenstand der Erfindung ist ein serielles Bus- 
system .mrtzwei- Datenleitungen (10. 12), an die an 
einem Ende ein zentraler Busteilnehmer (14) und am 
anderen Ende ein aktiver Busteilnehmer (16) ange- 
schlossen sind. Der zentrale und der aktive Busteilneh- 
mer senden Statusmeldungen auf den Bus (10. 12), von 
denen die Buslertungen in den Busteilnehmern (18, 20) 

Fgldbusmit Abschluf) - Modul 



zwischen den beiden Enden physisch durchgeschleift 
sind. Bet Ausbleiben der Statusmeldungen oder feh[er 
anzeigenden Statusmeldungen versetzt der zentrale 
Busteilnehmer (14) das Bussystem in einen Fail-Safe- 
Zustand. 



Interface -Modul 
B1 



Interface -Modut 
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Lcitungspriilung 



Fehlerausschun.da(3 die Verbindungsleitungen vom 
Bus zum TeiUModul A sowie vom Bu$ xum Teil-Modul B 
nicht gleidizeilig d.h. innerbalb des.gegenseitigen 
Priitzyklus A<> B [ z.B. 100ms] untertrochen werden 
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Beschreibung 



Die Erf indung bezieht sich auf ein Bussystem. 
Busse verbinden uber elektrische Ubertragungslei- 
tungen Teilnehmer miteinander. Die Anschlussstellen 
der Busteilnehmer sind an beliebigen Orten langs der 
Ubertragungsleitungen angeordnet. Die Gbertragungs- 
leitung eines seriellen Busses kann eine verdrillte Zwei- 
drahtfeitung oder eine Koaxialjeitung sein. Busse habep 
einen erheblichen Kostenvorteil gegenuber konventio- 
neller Verdrahtungstechnik und eine Vielfalt an zentral 
verfugbaren Informationen sowie Flexibility. Serielle 
Busse sind beispielsweise unter der Bezeichnung Prof i- 
bus. Bitbus usw. bekannt. Die Teilnehmer sind 2,B. Ein- 
. Ausgabemodule fur Sensorslgnale und/oder Stellele- 
mente bzw. Aktoren. 

Fur die Ubertragung sicherheitsgerichteter Signale 
k6nnen nur Busse bzw. Bussysteme eingesetzt werden. 
die fehlertolerant bzw. redundant aufgebaut sind. 
Sicherheitsgerichtete Signale sind solche, die sicher- 
heitstechnische Zwecke cxJer Auflagen erfullen. urn 
gefahrliche ZustSnde fur Personen cxJer Schaden durch 
elektrische Ausrustungen zu vermeiden bzw. rasch zu 
beseitigen. Ein redundantes Datenbussystem, das 
sicherheitstechnischen Anforderungen geriCigt, ist aus 
der DE-Z. messen prufen automatisieren, 10/95, Seite 
10, 12 - 14 und 16 bekannt. Bei diesem bekannten 
Datenbussystem sind ein fehlersicherer Automatisie- 
rungsprozessor und Teilnehmer uber zwei Busschnitt- 
stellen miteinander verbunden. Der fehlersichere 
Automatisierungsprozessor besteht aus zwei Prozes- 
sorsystemen, jeweils mit eigenem Mikroprozessor, 
Speicher und Systembus. Die beiden Prozessorsy- 
- Sterne bearbeiten taktsynchron das gleiche Programm. 
Ein in bestimmten Zeitintervallen auf einwandfreie 
Funktion uberprufter Vergleicher uberwacht die beiden 
Prozessorsysteme. Wird ein Fehler in einem Prozessor- 
system festgesteltt. werden die Ausgange aller Teilneh- 
mer auf ein definiertes Signal eingestellt. was das 
Versetzen aller von den Teilnehmern gesteuerten Akto- 
ren in einen vorbestimmten Sicherheitszustand bewirkt. 
Die fehlersicheren Automatisierungsprozessoren sind 
uber zwei Automatisierungsprozessoren mit einem 
Aniagenbus verbunden. Von den beiden Automatisie- 
rungsprozessoren, die jeweils gleiche Komponenten 
aufweisen. muss nur einer funktionstuchtig sein. Die 
Automatisierungsprozessoren arbeiten im Master- 
Reserve-Betrieb. Um ejnen Fehler j^mSyster^ 
erkennen. Werden^ neben Selbstteste die Kommunika^ 
onsverbindungen und weitere Hardwarekomponenten 
zyWisch gepruft. Im Fehlerfall wird der defekte Automa- 
tisierungsprozessor in einen definierten Stop-Zustand 
versetzt. 

Eine Systemabschaltung aufgrund eines festge- 
stellten Fehlers bedeutet, dass die Maschinen. Ferti- 
gungsanlagen und ahnliches in einen fur Personen 
ungefahrlichen Zustand versetzt werden. Ein Fehler 
muss innerhalb einer Fehlerreaktionszeit von zum Bei- 



spiel 20 ms erkannt werden; und innerhalb dieser Zeit 
muss auch die Not-Abschaltung der elektrischen Ausru- 
stung erfolgen. 

Eine vollstandig doppelte Busausfuhrung erfordert 
5 nicht nur die doppelte zweikanalige Ausfuhrung der 
Bus-Module fur die Sensoren sowie 2 Bus-Master zur 
Systemuberwachung und feifiiersicherer Abschaltung, 
sondern auch die Verlegung zweier unabhSngiger Lei- 
„ . . tungssysteme. -Durch die doppelte Busausfuhrung wird 
10 ein entscheidender Vorteil eines Bussystems gegen- 
uber herkdmmlicher Einzelverdrahtung zum Beispiel 
jedes Sensorschalters teilweise wieder zunichte 
gemacht. Man kann den doppelten Leitungsaufwand 
vermeiden. indem man eine einzelne Busleitung 
15 zwangsdynamisiert. Man spricht in diesem Fall von 
dynamischer Redundanz. ein bereits bekanntes Verfah- 
ren. Die Dynamisierung bedeutet, dass alle Bus- 
Module standig zyWisch auf Funktionstuchtigkeit und 
Meldezustand von dem auswertenden Master abge- 
20 fragt werden (Master-Slave-System) oder sich selbstan- 
dig regelmaBig melden (Multi-Master-System). 

Bei Multi-Master-Bussystemen k6nnen sich die 
Bus-Module (z.B. bei Schafter-Betatigung) sofort, d.h. 
im psec-Bereich selbstandig melden (sog. Echtzeitfa- 
25 higkeit), so dass fur die sicherheitstechnische Uberwa- 
chung einer Aniage keine standige Modulabfrage nOtig 
ware. Um jedoch auch einen Fehler im uberwachenden 
Bussystem selbst. z.B. den Ausfall eines Bus-Modules 
innerhalb der Fehletreaktionszeit (z.B. 20 ms s.o.) zu 
30 erkennen, tiberpuft man alle Bus-Module-Teilnehmer in. 
diesem Zeitraum je mindestens 1 x auf ihren Funktions- 
Zustand. Da zur Gewahrleistung einer hohen Daten- 
ubertragungssicherheit (Hamming-Distanz 4)^die^Mel- 
dungen jeweils aus umfangreichen Datenprotokollen 
35 bestehen (50 ... 80 bit), bedeutet diese Dynamisierung 
somit einen mit der Teilnehmerzahl proportional stei- 
genden _ Datenfluss (Datenubertragungsrate) zur 
System- Uberwachung. 

Andererseits ist die Datenubertragungsrate eines 
40 Bussystems wegen der Signallaufzeiten (Leitungs- 
lange) sowie der Modul-Reaktionszeiten (Teilnehmer- 
zahl) begrenzt. 

Es besteht also ein Konflikt zwischen dem Wunsch 
nach grOBeren Leitungsiangen (z.B. 100 ... 300 m) und 
45 vielen Busteilnehmern z.B. 50 ... 100 auf der einen 
Seite sowie dem technischen Aufwand zur Ubertragung 
und Auswertung hoherer Datenubertragungsraten 
, . ,(typisch-125 1000 k bit/s) andererseits. -.-^^ 
Zur Verringerung der Datenubertragungsrate bietet . 
50 sich die MOglichkeit an. die Bus-Module, die in einem 
Sicherheitsbus ohnehin doppelt (zweikanalig/redun- 
dant) vorgesehen sind. sich gegenseitig paanweise auf 
fehlerf reie Funktion ubenwachen zu lessen, so dass nur 
bei interner Differenz ein Teilnehmer eines Bus-Modul- 
55 Paares eine Bus-Fehler-Meldung abgeben muss. Die- 
ses Verfahren setzt aber voraus, dass die Busleitung 
zwischen dem auswertenden Master und jedem Modul 
jederzeit fehlerf rei und voll funktionsfahig ist. Da die Lei- 
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tung nicht doppelt und rdumlich getrennt ausgefuhrt 
sein soil, muss die Leitung selbst dynamisch uberpruft 
werden. und zwar bis zu alien Busteilnehmern. Ein Lei- 
tungsfehler muss innerhalb der Fehlertoleranzzeit 
erkannt werden. Die zyklische UberprOfung.aller Bus- 
teilnehmer erfordert wegen des hohen Datenubertra- 
gungsaufwands eine so gro(3e 2eit, da3 die notwendige 
Fehlerreaktionszeit nicht mehr eingehalten bzw, unter- 
schritten werden kann. , . , 

Bekannt ist auch ein lokales Netzwerk. bei dem aus 
Redundanzgrunden zwei serielle Bussysteme vorgese- 
hen sind, an die Netzknoten angeschlossen sind. Jeder 
Netzknoten ist durch zwei getrennte Ankopplungen mit 
den beiden Bussen verbunden. In einem der Bussy- 
steme werden im fehlerfreien Betrieb Prozessdaten 
ubertragen und im anderen Bussystem Statusinforma- 
tionen. Jede Ankopptung enthait wenigstens einen 
Kommunikations-Controller,.eine Kommunikations-CPU 
und einen Transceiver. Jede Kommunikations-CPU 
ubenwacht in einem Netzknoten die Funktlonsfahigkeit 
der anderen Kommunikations-CPU und erfullt die Funk- 
tion eines ■ Watchdog -Prozessors. Leitungsfehler sowie 
Fehlfunktionen von Kommunikations-Controllern wirken 
sich als Verfaischung von Busnachrlchten aus und wer- 
den durch Fehlererkennungsmechanismen entdeckt. 
Fehler, die in den Komponenten zwischen Bus und 
Kommunikations-CPU auftreten. werden durch eine 
zyklische Funktionsuberwachung der Komponenten 
festgestellt. Jeder Bus wird im Fehlerfall als Watchdog- 
bus benutzt, um im jeweils anderen Bussystem aufge- 
tretene Fehler den Netzteilnehmern mitzuteilen. Bei 
einem Fehler in demjenigen Bus, in dem die Prozessda- 
ten ubertragen werden, wird der Bus gesperrt und der 
Prozessdat"enverkehr wird uber'den anderen Bus abge- 
wickelt (DE 195 09 558 A1). 

Der Erfirtdung liegt das Problem zugrunde, ein Bus- 
system, bereitzustellen, das bei geringem Aufwarid fur 
sicherheitsgerichtete Signale und zahlreiche Busteil- 
nehmer sowie groBe Busleitungsiangen geeignet ist 
und bei einem Fehler eine kurze Reaktionszeit aufweist, 
wobei mit einfachen MaBnahmen uberpruft werden soli, 
ob ein Leitungsfehler vorliegt. 

Das Problem wird erfindungsgemAB insbesondere 
gelbst durch ein Bussystem umfassend einen ein Uber- 
tragungsmedium aufweiserKlen seriellen Datenbus mit 
an einem Ende vorhandenen ersten aktiven Busteilneh- 
mer und am anderen Ende vorhandenen zweiten akti- 
ven Busteijnehmer sovyie ,vpn .,denn, ..Obertragungs-. „ 
medium physisch durchgeschfeifte wertere Busteilneh- 
mer. wobei zumindest der erste aktive Busteilnehmer 
und/oder der zwelte aktive Busteilnehmer jeweils eine 
Anordnung zum regelmSBigen Aussenden und/oder 
Empfangen von Statusmeldungen aufweist. wobei 
zumindest von einem der Busteilnehmer die von einem 
anderen Busteilnehmer ausgehenden Statusmeldun- 
gen auf Ausbleiben innerhalb einer vorgegebenen Zeit- 
spanne Oder auf Abweichung von einer einem 
fehlerfreien Zustand des Bussystems zugeordneten 



Form uberpruft werden und wobei dann. wenn der Emp- 
fang der Statusmeldungen innerhalb der vorgegebenen 
Zeitspanne ausbteibt Oder Statusmeldungen empfan- 
gen werden, die von einer einen fehlerfreien Zustand 

5 des Bussystems zugeordneten Form abweichen. das 
Bussystem in einen ZustarxJ versetzt wird, der ein vbr- 
gegebenes Sicherheitskriterium erfullt. 

Bei dem erfindungsgemSBen Bussystem mussen 
.nicht mehr alle Busteilnehmer Jur die- Uberprufung 

10 abgefragt werden. da insbesondere die MOglichkeit 
besteht, dass der zweite aktive Busteilnehmer (Bus- 
Abschlussteilnehmer. Abschluss-Modul) die Ubenva- 
chungsfunktion des Ubertragungsmediums ubernimmt. 
Dieser Vorteil kommt insbesondere bei alien Bussyste- 

75 men zum Tragen, die mit aktiven Multi-Master-Modulen 
in redundanter Ausfuhrung arbeiten, obwohl der Bus 
einkanalig sein kann. Der erste aktive zentrale Busteil- 
nehmer bzw. Bus-Master sendet mit sehr hoher Takt- 
rate im Bereich von 10 bis 20 ms uber alle 

20 Busteilnehmer zum zweiten aktiven Busteilnehmer Sta- 
tusmeldungen und kann mit einer gleich hohen Taktrate 
die Oder sonstige geeignete Statusmeldungen bei ein- 
wandfreiem Ubertragungsmedium zurucksenden. Alter- 
nativ besteht die MOglichkeit. dass der zweite aktive 

25 Busteilnehmer unabhangig von vom ersten aktiven Bus- 
teilnehmer ausgehenden Signalen Statusmeldungen 
zum ersten aktiven Busteilnehmer sendet. 

Unabhangig wie die von dem zweiten aktiven Bus- 
teilnehmer gesendeten Statusmeldungen ausgelOst 

30 werden, kann das Ubertragungsmedium auf seinen 
ordnungsgemaBen ZustarxJ uberpruft werden. Das 
Ubertragungsmedium kann daher innerhalb der Erst- 
fehlereintrrttszeit, die mOgiichst kurz zu halten ist. uber- 
pruft werden. Die PrufdatenObertragung fur den Bus 

35 findet also im wesentlichen zwischen den Busteilneh- 
mern an den Busleitungsenden statt, so daB die Anzahl 
der Teilnehmer die Zeit, mit der die Prufdaten den Bus 
durchlaufen, nur in einem vernachiassigbaren Umfang 
beeinflusst. Bei dem erfindungsgemdBen Bussystem 

40 sind die Busteilnehmer zwischen dem zentralen Busteil- 
nehmer bzw. Busmodul an einem Ende und derri akti- 
ven Busteilnehmer bzw. Busmodul am anderen Ende 
des Busses nicht durch Stichleitungen mit dem Ubertra- 
gungsmedium verbunden. Das Ubertragungsmedium 

45 weist insbesondere zwei Leitungsadern auf. Hierunter 
ist auch ein Ubertragungsmedium mit einer ersten Ader 
und einer leitenden Verbindung uber Masse zu verste- 

, .... .,hen, die die.zweite.Ader.bildet.,Der.Bus veriauft also bei. 
der erfindungsgemaBen Anordnung vom ersten aktiven 

50 bzw. zentralen Busteilnehmer bzw. Busmodul. im fol- 
genden auch Bus-Master genannt, durch alle Bus-Teil- 
nehmer im folgenden auch Slaves genannt, physisch 
hindurch und wird am Ende mit dem zweiten aktiven 
Busmodul. auch Abschluss-Modul, versehen. Der Bus 

55 wird also nur als ein galvanisch von einem zum anderen 
Ende verlaufender Strang ausgefuhrt Da Stichleitun- 
gen zu den Slaves entfallen. hat der Bus auch einen 
hOheren Wirkungsgrad. 
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Es ist vorgesehen. dass der erste aktive Busteil- 
nehmer die Statusmeldungen des zweiten aktiven Bus- 
teilnehmers uberwacht und umgekehrt und dass die 
weiteren Busteilnehmer die von den anderen Busteil- 
nehmern ausgehenden Statusmeldungen oder Status- 5 
meldungen, die von einer einen fehlerfreien Zustand 
des Ubertragungsmediums zugeordneten Form abwei- 
chen, Libenwachen. 

Vorzugsweise umfassen zumindest eiriige der Bus- 
teilnehmer 2wei sich gegenseitig uberwachende Einhei- 10 
ten. 

Es ist zweckmSBig, zumindest einige, vorzugs- 
weise samtliche Busteilnehmer jeweils als Module mit 
zwei Einhelten auszubilden, die an Sensoren und/oder 
Aktoren angeschlossen sind und sich gegenseitig uber- is 
wachen. Bei dieser Ausfuhrungsform sind die Busteil- 
nehmer redundant aufgebaut. Durch diesen Aufbau in 
Verbindung mrt der Uberwachung muss in den Busteil- 
nehmern nicht mit einem Erstfehler gerechnet werden, 
d.h. diese Busteilnehmer kOnnen sicherheitstechnisch 20 
groBzugiger dimensioniert werden. 

Der Bus-Master ist grundsatzlich das erste GerAt 
im Strang, das Busabschluss-Modul grundsStzlich das 
letzte Gerat im Strang. Bus-Master und Busabschluss- 
Modul haben jeweils nur einen Busanschluss. alle 25 
anderen Bus-Module jeweils genau einen Bus einoano 
und einen Bus ausoang . 

Der Bus-Master ats erstes Gerat und der Bus- 
Abschluss als letztes Gerat im Strang senden und/oder 
empfangen mit einer hohen Ubertragungsrate (z.B. alie 30 
10 ms) Statusmeldungen. die vorzugsweise voneinan- 
der unabhSngig sind. Diese werden von alien Busteil- 
nehmern kontrolliert. 

Der zentrale Busteilnehmer ist zweckmaBigerweise 
zweikanalig aufgebaut. Unter zweikanaligem Aufbau ist 35 
hierbei ein Aufbau aus zwei gleichen Einheiten zu ver- 
stehen. Die zwei gleichen Einheiten haben insbeson- 
dere einen gemeinsamen fehlersicheren Vergleicher. 
der Ausgange z.B, zu einer Relaisebene Oder einer 
Equivalent sicheren Abschaltebene aufweist, mit der 40 
vorzugsweise elektrische Verbraucher ein- und ausge- 
schaltet werden. Im Falle einer Relaisebene hat diese 
insbesondere zwangsgefuhrte Relais. 

Bei Ausbleiben der Nachrichten oder fehlerhaften 
Meldungen uber eine festgelegte Fehlertoleranzzeit 45 
hinaus (z.B. 15 ms) muss von einer gestdrten Buslei- 
tung Oder einem defekten Busteilnehmer ausgegangen 
werden. Das System geht dann in ..einen^ sicheren . 
Zustand uber. 

Das physische Durchschleifen der Busleitung so 
beinhaltet einen Fehlerausschluss innerhalb des Bus- 
Modules zwischen Busleitung ur>d zweikanaligem Bus- 
Modul (da kein logisches datenflussmSBiges Durch- 
schleifen vorgesehen ist). Dies wird erreicht durch elek- 
tro-mechanische MaBnahmen: 55 

Die eingehende Busader der Busleitung ist insbe- 
sondere als wenigstens eine Leiterbahn auf einer Lei- 
terplatte im zweikanalig aufget>auten Busteilnehmer 



ausgebildet. Die Busleitung ist auf dieser Leiterplatte 
uber geatzte. fiachige Lerterbahnen durchgeschleift. 
ZweckmaBigenweise sind auf der gleichen Leiterplatte 
zweikanalig ausgefuhrte Bus-Controller-Bausteine vor- 
gesehen, die an die Leiterbahn unmittelbar. aber unab- 
hangig voreinander uber kurze Stichleiterbahnen 
angeschlossen sind. Beide Bus-Controller-Bausteine 
uberwachen sich gegenseitig. Die galvanische Verbin- 
dung in der Busleitung ist so ausgebildet. daB die 
gleichzeitige elektrische Abtrennung beider Bus-Con- 
troller von der durchgeschleiften Busleitung ausge- 
schlossen ist. 

Die Leiterbahnfuhrung auf der Leiterplatte ist so 
ausgelegt. dass auch bei einem evtl. Durchbohren der 
Leiterplatte ein gleichzeltiges Durchtrennen der Stich- 
leiterbahnen zwischen Bus und beiden Controller aus- 
geschlossen ist, bzw. bei diesem Vorgang auch die 
durchgeschleifte Busleitung mit zerstOrt wird. 

Dieser Fehler wurde dann innerhalb der Erstfehler- 
erkennungszeit von 1 5 ms vom Bussystem erkannt wer- 
den. 

Weitere Einzelheiten. Merkmale und Vorteile der 
Erfindung ergeben sich nicht nur aus den Anspruchen 
und den diesen zu entnehmenden Merkmalen -fur sich 
und/oder in Kombination-, sdnderrTauch aus der folgen- 
den Beschreibung eines bevorzugten /\usfuhrungsbei- 
spiels. 

Es zeigen: 

Fig. 1 ein Blockschaltbild eines seriellen Datenbus- 
Systems. mit dem sicherheitsgerichtete 
Signale ubertragen bzw. verarbeitet werden. 

Fig. 2 ein Blockschaltbild eines zentralen Busteil- 
nehmers. 

. Fig..3.' .: ein als Eingangsmodul ausgebildeter Bus- 
teilnehmer im Blockschaltbild. 

Fig. 4 ein als Ausgangsmodul ausgebildeter Bus- 
teilnehmer im Blockschaltbild. 

Ohne die Erfindung einschranken zu wollen. wird in 
dem /^usfuhrungsbeispiel ein serierelles Bussystem mit 
einem Ubertragungsmedium beschreiben. das zwei 
gleiche Lertungsadern 10. 12 zur Bildung einer Daten- 
leitung umfasst. (Alternativ kGnrrte jede Leitungsader 
10..,12,-eine Datenleitung 10'.. 12--sein).-An-den einen 
Enden der Leitungsadern 10. 12 ist ein zentraler Bus- 
teilnehmer 14 als erster aktiver Busteilnehmer ange- 
schlossen. Der zentrale Busteilnehmer 14 wird im 
folgenden auch Bus-Master 14 genannt. da er zentrale 
Busvenwaltungsaufgaben ausfuhrt. An den anderen 
Enden der beiden Leitungsadern 10. 12 ist ein zweiter 
aktiver Busteilnehmer 16 angeschlossen. der auch als 
Abschlussbusteilnehmer 16 oder Abschluss-Modul 16 
bezeichnet wird. Mit den Leitungsadern 10, 12 sind 
Bus-Teilnehmer verbunden. von denen in der Zeich- 
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nung zwei Busteilnehmer 18. 20 dargestellt sind. Die 
auch als Slaves bereichneten Bus-Teilnehmer 18, 20 
kOnnen an beliebigen Steflen Idngs der Leitungsadern 
10. 12 angeordnet sein. die als Feld-Busse z.B. in einer 
technischen Aniage verlegt sind. Der Bus-Master 14, £ 
der Abschluss-Busteilnehmer 16 und die Busteilnehmer 
18, 20 sind zweikanalig ausgebildet, d.h. es sind im 
Bus-Master 14 zwei vorzugsweise gleiche Einheiten AO. 
80. im, aktryen Busteilnehmer 16 zweL yqrzugsweise 
gleiche Einheiten A^. B^ und in den anderen Busteil- w 
nehmern 18. 20 jeweils zwei vorzugsweise gleiche Ein- 
heiten A1. B1 und A2, B2 vorhanden. Auf den 
Leitungsadern 10, 12 werden insbesondere sicherheits- 
gerichtete Signale in digitaler Form ubertragen. Der 
Bus-Master 14 ist grundsStzlich das erste Gerat bzw. 75 
Modul am jeweiligen seriellen Bus und hat fCir jede Lei- 
tungsader 10, 12 einen Busanschluss 22, 24. Der aktlve 
Busteilnehmer 16 ist grundsatzlich das letzte Gerat am 
Bus und hat fur jede Datenleitung nur einen Busan- 
schluss 26, 28. Alle anderen Busteilnehmer 18, 20 20 
haben fur jede Datenleitung jeweils einen Buseingang 
30, 32 bzw. 34, 36 und einen Busausgang 38, 40 bzw. 
42, 44. Die Datenleitung bzw. die Datenleitungen 10', 
12' sind in den Busteilnehmern 18, 20 physisch durch- 
geschleift. In der Zeichnung sind die durchgeschleiften 25 
Leitungsadern 10, 12 in bezug auf den Busteilnehmer 
18 (Slave 18) mit 46, 50 und in Bezug auf den Busteil- 
nehmer 20 (Slave 20) mit 52. 54 bezeichnet. AuBerhalb 
der Busteilnehmer kann die Busleitung als koaxiale 
Oder verdrilfte Leitungen verlegt sein. 30 

Die elektrischen Verbindungen 46. 50 und 52. 54 
sind in den Slave-Modulen 18, 20 vorzugsweise auf Lei- 
terplatten als gedtzte. fiachige Letterbahnen ausgebil- 
det und verlaufen zwischen den BuseingSngen 30. 32 
und den Busausgdngen 38, 40 bzw. zwischen den Bus- 35 
eingangen 34, 36 und den Busausgangen 42. 44. Auf 
den gleichen, nicht naher dargestellten Leiterplatten 
sind intelligente Bus-Controller-Bausteine 56, 58 bzw. 
60, 62 in den Einheiten A1, B1. A2. B2 angeordnet. Die 
Bus-Controller-Bausteine 56 bis 62 sind jeweils an die 40 
elektrischen Verbindungen 46. 50 bzw. 52, 54 unmittel- 
bar uber Stichleiterbahnen bzw. Stichleitungen 64. 66. 
68. 70 bzw. 72. 74. 76. 78 aber unabhangig voneinan- 
der angeschlossen. Die beiden Bus-Controller-Bau- 
steine 56, 58 bzw. 60. 62 in jedem der Busteilnehmer 45 
18, 20 ubenA^achen sich gegenseitig. Von den Einheiten 
A1, B1. A2, B2 ...An, B^ gehen elektrische Verbindun- 
gen ^.zu.Sensprep.und/oder.Aktoren. in der jeweiligen 
Maschine Oder Aniage aus. Diese an den jeweiligen 
Einheiten A1, B1, A2, B2...Af^, B^ insgesamt mit 80. 82. so 
84, 86, 88 und 90 bezeichneten Verbindungen sind aus 
Redundanzgrunden vorzugsweise jeweils zweikanalig 
zu den Sensoren bzw. Aktoren verlegt. Durch die 
Anordnung der Verbindungen 46, 50. 52, 54 und der 
Stichleitungen 64. 66. 68. 70. 72. 74, 76. 78 auf den Lei- 55 
terplatten der Busteilnehmer 18. 20 wird ausgeschlos- 
sen, dass beide Bus-Controller-Bausteine 58. 56 bzw. 
60, 62 im jeweiligen Busteilnehmer 18. 20 gleichzeitig 



elektrisch von der durchgeschleiften Datenleitung 
(Ubertragungsmedium) abgetrennt werden k6nnen. Die 
Leiterbahnfuhrung ist deshalb auf der Leiterplatte des 
jeweiligen Busteilnehmers 18, 20 so ausgebildet, dass 
auch bei einem eventuellen Durchbohren der Leiter- 
platte ein gleichzeitiges Durchtrennen der Stichleiter- 
bahnen bzw. Stichleitungen 64, 66, 68, 70 bzw. 72, 74, 
76. 78 ausgeschlossen ist bzw. bei einem solchen Vor- 
gang auch die durchgeschleifte Datenleitung.bzw. das 
Ubertragungsmedium zerstOrt wird. Auch im zweiten 
aktiven Busteilnehmer 16 sind in den Einheiten Ajg. Bn 
Bus-Controller-Bausteine 92, 94 vorhanden, die sich 
gegenseitig uberwachen und uber nicht naher bezeich- 
nete Stichleitungen. die den oben im Zusammenhang 
mit den Busteilnehmern 18. 20 erwahnten Bedingungen 
gehorchen. jeweils mit den Busanschlussen 26. 28 ver- 
bunden. Im zentralen Busteilnehmer 14 bzw. Bus- 
Master sind die beiden Einheiten AO. BO uber nicht 
naher bezeichnete Stichleitungen. die den oben im 
Zusammenhang mit den Leitungen der Busteilnehmer 
18. 20 erwahnten Bedingungen gehorchen.' mit den 
Busanschlussen 22, 24 verbunden. 

Die von den beiden gleichartigen Einheiten AO. BO 
erzeugten Ergebnisse bzw. Signale in bezug auf die 
Busuberwachung werden uber eine galvanisch 
getrennte Verbindung 96 wie Opto-Koppler der jeweils 
arxjeren Einheit zugefuhrt, indem die von den Einheiten ' 
AO und BO erzeugten Signale auf Gleichheit und Gleich- 
zeitigkeit uberwacht werden. Der fehlersichere Verglei- 
cher besteht aus den gleichartigen Einheiten AO. BO, 
der galvanisch getrennten Verbirxjung 96 wie Opto- 
Koppler und der Relais K1, K2 oder einer vergleichba- 
ren Schaltung und steuert eine nicht naher dargestellte 
"/Ujsgangsebehe. die in der Stromzuleitung des jeweili- 
gen Gerats bzw. der Maschine oder Aniage angeordnet 
sind und bei Ansteuerung durch den Vergleicher die 
Energiezufuhr unterbrechen. um damit das Gerat, die 
Maschine oder technische Aniage in einen sicheren 
Zustand zu uberfuhren. Die Relais oder Schutze haben 
zwangsgefuhrte Kontakte, eine Eigenschaft. bei der 
Kontakte der beiden Relaiszustande. d.h. Arbeits- und 
Ruhekontakte, nicht gleichzeitig geOffnet bzw. 
geschlossen sein kGnnen, bzw. eine gleichwertige Aus- 
wertelektronik. 

Der zentrale Busteilnehmer 14 (Bus-Master) und 
der aktive Busteilnehmer 16 senden und/oder empfan- 
gen mit einer hohen Ubertragungsrate z.B. periodisch. 
.^Statusmeldungen uber die. Datenleitungen 1,0, 12. Die. 
Periode kann z.B. 10 riis betragen. Die Statusmeldun- 
gen, die insbesondere Daten in digitaler Form sind, 
gelangen zu den Busteilnehmern 18. 20 und werden 
von diesen auf Gleichheit bzw. Ubereinstimmung mit 
einer vorgegebenen Statusinformation verglichen. Wei- 
terhin uberprufen vorzugsweise samtliche, insbeson- 
dere die Busteilnehmer 18, 20. 16. ob die 
Statusmeldungen innerhalb einer vorgebenen Fehlerto- 
leranzzeit ubertragen bzw. empfangen werden. Wenn 
die Statusmeldungen nicht innerhalb der Fehlertole- 
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ranzzert von z.B. 15 ms Oder wenn fehlerhafte Meldun- 
gen empfangen werden, muss von einer gestCrten 
Busleitung bzw. einem defekten Busteilnehmer ausge- 
gangen werden. Die StOrung wird zumindest in einem 
der Busteilnehmer erkannt. Jeder der die StOrung test- 5 
stellende Busteilnehmer wie Bus-Master 14, Abschluss- 
Modul 16 Oder Busteilnehmer .18 oder 20- kann bei 
einem festgestellten Fehler den Ubergang des Systems 
bzw. des Gerats oder der Aniage in einen sicheren 
Zustand veraniassen. Der sichere Zustand ist z.B. der tq 
Stillstarxi des technischen Systems, des Gerdts, der 
Maschine oder der Aniage bzw. die AuBerbetriebnahme 
durch Abschaltung der Betriebsenergie, d.h. es wird 
nach dem Fail-Safe-Prinzip verfahren. 

Allgemein ausgedruckt werden nach Feststellung is 
einer StOrung in einem gefahrbringenden Bereich 
gefahrbringende Aktiviaten wie Bewegungen, Strahlun- 
gen etc. unverzuglich unterbunden. 

Die Fehlerreaktionszeit ist bei der oben beschriebe- 
nen Anordnung auch bei einer Periode von z.B. 10 ms 20 
der Statusmeldungen ausreichend kurz. um die Sicher- 
heitsanforderungen zu erfullen. Ein Fehler wird inner- 
halb der Erstfehlererkennungszert von z.B. 15 ms vom 
zentralen Busteilnehmer erkannt. 

Die Statusmeldungen werden perlodisch vom 25 
Abschluss-Modu! 16 und/oder vom Bus-Master 14 aus- 
gesendet und von den verbleibenden Busteilnehmern 
20, 18, 14 bzw. 18.20, 1 6 ausgewertet. Auf diese Weise 
werden Laufzeiten uber die doppelte Ldnge des jeweili- 
gen Busses vermieden. Falls das Obertragungsmedium 30 
unterbrochen oder kurzgeschlossen ist, werden Status- 
meldungen nicht von alien Busteilnehmern 14, 16. 18. 
20 empfangen. wodurch sofort ein Fehler erkennbar ist. 
Zumindest einer der den Fehler feststellende Busteil- 
nehmer 14. 16. 18, 20 I6st dann die Stillsetzung des 35 
Bussystems und z. B. auch weiterer Verbraucher aus. 
die vom Bussystem gesteuert werden. . , 

In den Busteilnehmern 18. 20, die als Eingabe-, 
Ausgabemodule ausgebildet sind, und im aktiven Bus- 
teilnehmer 16 korrtrollieren sich die intelligenten Bus- 40 
Controller-Bausteine 58. 56. 60. 62 und 92, 94 gegen- 
seitig und erzeugen bei einem im jeweils anderen Bau- 
stein festgestellten Fehler sofort eine entsprechende 
Meidung, die auf .die verbleibenden Busteilnehmer 
ubertragen wird. 45 

Das oben beschriebene Bussystem ist fur lange 
Busleitungen mit zahlreichen Busteilnehmern geeignet. 
Die Fehletreaktionszeit ist auch bei vielen Teilnehrnern . 
und langen Busleitungen kurz. so dass die Sicherheit- 
sanforderungen eingehalten werden. Der Bus-Master so 
14 und/oder Abschluss-Modul 16 senden regelmSBig 
Metdungen zur Leitungsprufung aus. die von den ubri- 
gen Busteilnehmern 16. 18. 20 empfangen werden. Die 
Periode dieser Signale ist z.B. 10 ms. 

Unabhangig davon besteht die MOglichkeit. dass ss 
der Bus-Master 14 regelmaBige Signale aussendet. die 
von dem Abschluss-Modul 16 empfangen und zuruck- 
gesendet werden bzw. Ruckmeldungen generiert wer- 



den. Die Funktion von Bus-Master 14 und Abschluss- 
Modul 16 kann dabei vertauscht werden. 

Mit den Bezugszeichen 10. 12 wurden oben jeweils 
die Leitungsadern einer Datenlertung eines Busses 
bezeichnet. Die obigen Oberlegungen gelten auch fur 
einen doppelt ausgelegten Bus, wobei unter 10*. 12* 
dessen beide Ubertragungsmedien zu verstehen sind, 
d.h. die Bezugszeichen 10*, 12' bezeichnen bei einer 
Anordnung mit zwei Bussen Jeweils einen Bus. Die 
Busse 10'. 12' kdnnen jeweils zwei Leitungen aufwei- 
sen. In Fig. 1 wurde dieser Sachverhalt durch Hinzufu- 
gung der Bezugszeichen 10'. 12' in Klammern zu den 
Bezugszeichen 10, 12 angedeutet. Die Busse 10'. 12' 
weisen je zwei Leitungsadern auf. Bei zwei Bussen 10'. 
12' ergeben sich im Vergleich zu der in Fig. 1 dargestell- 
ten Anordnung doppelt so viele Busanschlusse. Busein- 
gange. Busausgange. Leiterbahnen zwischen 
Buseingangen und Busausgangen. Stichleitungen und 
Leitungsadern zwischen den Teilnehmern. Es ist m6g- 
lich, die Busse 10'. 12* zwischen den Teilnehmern auf 
verschiedenen Wegen zu verlegen, um zu verhindern. 
dass sich Beschadigungen. z. B. mechanischer Art. auf 
beide Busse zugleich auswirken. 

Das Bussystem kann insbesondere als Multi- 
Master- Bussystem ausgebildet sein und besteht in die- 
sem Fall aus zweikanaiigen Teilnehmern. die an einen 
einkanaligen Bus angeschlossen sind. Durch den akti- 
ven Busteilnehmer am Ende des Busses kann der Feh- 
ler "Unterbrechung der Leitung. Innerhalb eines 
Teilnehmers" mit nur zwei Busteilnehmern und daher 
sehr schnell festgestellt werden. 

Alle Busteilnehmer sind aktiv, d.h. sie senden selb- 
standig (Multi-Master-System). Es wird die Datenverar- 
beitung im Master ausgefuhrt. Alle Busteilnehmer 
senden selbstandig periodisch ihre Statusmeldungen. 
Ereignisse (z.B. Anderung von Eingangszustanden) 
werden sofort ohne Zeitverlust ubertragen. 

Bedingt durch die Fehlertoleranzzeit (Erstfehlerein- 
trittszeit) des Systems (es muss innerhalb von z.B. 20 
ms sicher abgeschaltet werden kOnnen) muss somit 
eine Busunterbrechung in dieser Zeit sicher erkannt 
werden. 

Wird der Bus als Strang ausgelegt. und nur noch 
das 1 . Modul (Master = Auswerteeinheit mit Kundenpro- 
gramm) und das letzte Modul (Busabschluss) senden 
ihre Statusmeldungen alle 10 ms, die ubrigen Module 
alle 100 ms, mussen nur noch wenige Statusmeldun- 
gen pro Sekunde ubertragen werden. Der Bus ist somit 
frei fur Ereignisse. 

Eine Busunterbrechung kann bei dem als Strang 
ausgelegten Bussystem von alien Teilnehmern an feh- 
lenden Statusmeldungen des Masters bzw. des Busab- 
schlusses erkannt werden. 

Bei einem Defekt an einem Busteilnehmer mit lang- 
samen Statusmeldungen, muss von der Zweitfehlerein- 
trittszeit ausgegangen werden, da durch die 
konsequente Zweikanaligkeit ein Ausfall eines Bauteils 
keinesfalls ein ganzes Modul funktionsunfahig werden 
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kann. 

Wahrend es nur einen einkanaligen Bus gibt, ent- 
hAlt jedes Modut 2 Busknoten. Die Daten auf den Bus- 
leitungen sind Squivalent. Statusmeldungen werden in 
jedem Knoten generiert. Es wird bei Initialisierung des 
Systems in jedem Knoten ein ZShler gestartet. der nach 
jeder Meldung inkrementiert wird. Zusatzlich wird noch 
ein Kontrollbyte ubertragen. 

Die beiden Knoten- eines Bus-Moduls uberwachen 
unabhSngig voneinander die Statusmeldungen die auf 
dem Bus ubertragen werden. Zusatzlich ist eine galva- 
nisch getrennte Verbindung (Link) zwischen den Knoten 
vorhanden, uber die Betriebs- bzw. Fehlermeldungen 
ausgetauscht werden. 

Bei dem in Fig. 2 dargestellten zentralen Busteil- 
nehmer 14 ist der Anschluss eines Buskabels 100 mit 
den Leitungsadern 10. 12 dargestellt. Das Buskabel 
100 enthait auch nicht nfther bezeichnete Stromversor- 
gungsleitungen. Im zentralen Busteilnehmer 14 ist in 
zwei vorzugswiese gleichen Einheiten AO, BO je eine 
CPU 102 vorhanden. 

Die Fig. 3 zeigt einen als Eingangsmodul ausgebil- 
deten Busteilnehmer 18. der mit Klemmen. die nicht 
naher bezeichnet sind, an die Buskabel 104, 106 ange- 
schlossen sind. die jeweils die Leitungsadern 10, 12 
und Stromversorgungsleitungen aufweisen. Das Ein- 
gangsmodul 18 weist EingSnge 108, 110 usw. fur 
Schalter auf. von denen in Fig. 3 ein Not-Ausschalter 
1 12 und ein Startschalter 1 14 dargestellt sind. Die Eln- 
gange 108. 110 usw. sind z.B. als Klemmen ausgebil- 
det, die Qber galvanische Trennstrecken mit den 
Einheiten des Busteilnehmers 18 verbunden sind. 

Bei dem in Fig. 4 dargestellten Ausgangs- bzw. 
Ausgabemodul 20 sind wiederum Buskabel 104, '106 
mit Datenleitungen 10. 12 und nicht naher bezeichneten 
Stromversorgungsleitungen an den Busteilnehmer 20 
angeschlossen. Es sind Schutze Klo, K2o, K3o als 
Aktoren mit dem Busteilnehmer 20 verbunden. 

Wahrend die Klemmen fur Sensoren an den Ein- 
gangsmoduten nur einmal vorhanden und innerhalb der 
Module galvanisch getrennt auf die beiden Knoten auf- 
geteilt sind. sind die Ausgange z.B. 116. 118 fur die 
Aktoren galvanisch getrennt, Kanal 1 NPN schaltend. 
Kanal 2 PNP schaltend, auf zwei unterschiedliche 
Klemmen gelegt. 

Die von einem Modul (bzw. einem Knoten des 
Moduls) erzeugten Fehlermeldungen werden alien Teil- 
nehmern gleichzeitig- mitgeteilt.^Die.:.Verarbei_tung der 
Fehlermeldungen wird in jedem Modul unabhangig vor- 
genommen. 

Bedingt durch die vorgeschriebene externe, als 
Strang verlegte. Busleitung und die vorgegebene innere 
Verdrahtung der Busleitung kann dahingehend ein Feh- 
lerausschluss gemacht werden, dass eine zerstOrte 
Busleitung nicht innerhalb der Fehlertoieranzzeit des 
Systems erkannt wird. 
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Bussystem umfassend einen ein Ubertragungsme- 
dium (10. 12) aufweisenden seriellen Datenbus mit 
an einem Ende vorhandenen ersten aktiven Bus- 
teilnehmer (14) und am anderen Ende vorhande- 
nen zweiten aktiven Busteilnehmer (16) sowie von 
dem Ubertragungsmedium physisch durchge- 
schleifte weitere Busteilnehmer.(18, 20). 

wobei zumindest der erste aklive Busteilneh- 
mer (14) und/oder der zweite aktive Busteil- 
nehmer (16) jeweils eine Anordnung zum 
regelmaBigen Aussenden und/oder Empfan- 
gen von Statusmeldungen aufweist, 

wobei zumindest von einem der Busteilnehmer 
(14. 16. 18. 20) die von einem anderen Busteil- 
nehmer (14. 16. 18, 20) ausgehenden Status- 
meldungen auf Ausbleiben innerhalb einer 
vorgegebenen Zeitspanne Oder auf Abwei- 
chung von einer einem fehlerfreien Zustand 
des Bussystems zugeordneten Form uberpruft 
werden und 

wobei dann, wenn der Empfang der Statusmel- 
dungen innerhalb der vorgegebenen Zeit- 
spanne ausbleibt Oder Statusmeldungen 
empfangen werden, die von einer einen fehfer-- 
freien Zustand des Bussystems zugeordneten 
Form abweichen, das Bussystem in einen 
Zustand versetzt wird. der ein vorgegebenes 
SIcherheitskriterlum erfullt. 

Bussystem nach Anspruch 1 , 
dadurch gekennzelchnet, 

dass der ..er^te aktive Busteilnehmer (14) die Sta- 
tusmeldungen des zweiten aktiven Busteilnehmers 
(16) ubenA^acht oder umgekehrt. 

Bussystem nach Anspruch 1 oder 2. 
dadurch gekennzeichnet, 

dass die weiteren Busteilnehmer (18, 20) die von 
den anderen Busteilnehmern (14, 16, 18, 20) aus- 
gehenden Statusmeldungen oder Statusmeldun- 
gen. die von einer einen fehlerfreien Zustand des 
Ubertragungsmediums zugeordneten Form abwei- 
chen, Qbervyachen,. 

Bussystem nach einem oder mehreren der vorher- 
gehenden Anspruche, 
dadurch gekennzelchnet, 
dass das Ubertragungsmedium zwei Leitungs- 
adern (10. 12) aufweist. 

Bussystem nach einem oder mehreren der vorher- 
gehenden Anspruche. 
dadurch gekennzelchnet, 
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dass zumindest einige der Busteitnehmer (14, 16. 
18. 20) zwei sich gegenseitig Qberwachende Ein- 
heiten (Al. B1. A2. 82. A^. Bm) umfassen. 

6. Bussystem nach etnem Oder mehreren der vorher- 
gehenden Anspruche, 

dadurch gekennzeichnet, 

dass zumindest einige der Bustellnehmer (14, 16. 
18, 20) als Module mrt zwei sich gegenseitig Ober- 
wachenden Einheiten (Al. Bl . A2, B2, A^. B^,) aus- 
gebildet sind. die vorzugsweise an Sensoren 
und/oder Aktoren angeschlossen sind. 

7. Bussystem nach einem Oder mehreren der vorher- 
gehenden Anspruche, 

dadurch gekennzeichnet, 

dass die an den Enden einer Datenleitung vorhan- 
denen ersten und zweiten aktiven Busteilnehmer 
(14. 16) jeweils einen Datenleitungsanschluss (22. 
24. 26. 28) und die weiteren Busteilnehmer (18. 20) 
jeweils einen Datenleitungseingang (30, 32; 34, 36) 
und einen Datenleitungsausgang (38. 40; 42. 44) 
aufweisen und dass elektrische Verbindungen (46. 
50: 52, 54) der Datenleitung zwischen Eingang und 
Ausgang jeweils zumindest als eine elektrische 
Verbindung, vorzugsweise in Form einer auf einer 
Leiterplatte angeordneten Leiterbahn ausgebitdet 
sind- 



8. 



Bussystem nach einem Oder mehreren der vorher- 
gehenden Anspruche, 
dadurch gekennzeichnet, 

dass in den Busteilnehmern (14, 16, 18, 20) jeweils 
zwei intelligente Bus-Controller-Bausteihe (56. 58; 
60, 62; 92, 94) durch Stichleitungen (64. 66; 68. 70; 35 
72, 74; 76, 78) unabhangig voneinander mit den 
elektrischen Verbindungen (46, 50; 52, 54) der 
Datenleitung (10. 12) verbunden sind- 

Bussystem nach einem oder mehreren der vorher- 40 
gehenden Anspruche, 
dadurch gekennzeichnet, 

dass die Stichleitungen (64, 66. 68, 70. 72. 74. 76. 
78) und die elektrischen Verbindungen (46, 50, 52, 
54) der Busse (10', 12') oder des Busses (10, 12) 45 
derart in den Busteilnehmern (14. 16. 18, 20) ange- 
ordnet sind. dass bei Beschadigungen eine gleich- 
zeitige Unterbrechung bzw. gleichzeitiger 
Kurzschluss unterbleibt. 



837 394 A2 ^ll^^l^ 

sicheren Abschaltebene aufweist. 

11. Bussystem nach einem oder mehreren der vorher- 
gehenden Anspruche, 

5 dadurch gekennzeichnet, 

dass zwischen den berden vorzugsweise gleichen 
Einheiten (A1 . Bl . A2, B2. A^, B^, AO, BO) eine gal- 
vanisch getrennte Verbindung zur Ubertragung von 
Betriebs- und Fehlermeldungen vorgesehen ist. - 

10 

12. Bussystem nach einem oder mehreren der vorher- 
gehenden Anspruche. 

dadurch gekennzeichnet, 
dass Anschlusse fur Sensoren an den Bustetlneh- 
15 mern (14. 16. 18, 20) je Sensoranschluss einmal 
vorhanden sind und dass die Anschlusse unter gal- 
vanischer Trennung mit den beiden Einheiten der 
Busteilnehmer (18. 20) verbunden sind. 

20 13. Bussystem nach einem Oder mehreren der vorher- 
gehenden Anspruche. 
dadurch gekennzeichnet, 
dass AusgSnge fur Aktoren galvanisch getrennt auf 
jeweils vorzugsweise zwei Ktemmen gelegt sind. 

25 • 

14. Verfahren zum Betreiben eines Bussystems umfas- 
send einen ein Ubertragungsmedium aufweisen- 
den seriellen Datenbus mit an einem Ende 
vorhandenen ersten aktiven Busteilnehmer und am 
30 anderen Ende vorhandenen zweiten aktiven Bus- 
teilnehmer sowie von dem Ubertragungsmedium 
physisch durchgeschleifte weitere Busteilnehmer, 



10. Bussystem nach einem oder mehreren der vorher- 
gehenden Anspruche, 
dadurch gekennzeichnet, 
dass im ersten aktiven Busteilnehmer (14) die bei- 
den vorzugsweise gleichen Einheiten (AO, BO) mit 
einer galvanisch getrennten Verbindung (96) wie 
Opto-Koppler verbunden sind, die Ausg^nge zu 
einer Relaisebene oder zu einer fiquivaienten 



50 



55 



wobei der erste und/oder zweite aktive Busteil- 
nehmer regelmSBig mit einer vorgegebenen 
hohen Taktrate Statusmeldungen auf den seri- 
ellen Bus aussendet und/oder empfangt und 

wobei dann, wenn der Empfang der Statusmel- 
dungen innerhalb einer vorgegebenen Zeit- 
spanne in zumindest einem der Busteilnehmer 
unterbleibt oder von zumindest einem der Bus- 
teilnehmer Statusmeldungen empfangen wer- 
den. die von einer einem fehlerfreien Zustand 
des Ubertragungsmediums zugeordneten 
Form abweichen, das Bussystem in einen 
einem Sicherheitskriterium zugeordneten 
.Zustand versetzt wird. , . 

15. Verfahren nach Anspruch 14, 
dadurch gekennzeichnet, 

dass der die Statusmeldungen empfangende Bus- 
teilnehmer zumindest einer der aktiven Busteilneh- 
mer ist. 

16. Verfahren nach Anspruch 14. 
dadurch gekennzeichnet, 

dass die vorgegebene Zertspanne 140ms oder 
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weniger betragt. vorzugsweise < 20ms. Bussystem in einen einem Sicherheitskriterium 

zugeordneten Zustand versetzt wird. 

17. Verlahren nach Anspruch 14, 
dadurch gekennzeichnet, 

dass die Taktrate der Statusmeldungen des ersten s 
und/oder zweiten aktiven Busteilnehmers (14, 16) 
im Verhaitnis zu den Taktraten der weiteren Busteil- 
nehmer (18, 20) realtiv hoch ist. vorzugsweise im 
- Verhaitnis 10:1 bis20:r. .. - - 

10 

18. Verfahren nach Anspruch 14, 
dadurch gekennzeichnet, 

dass die vom ersten aktiven Bustellnehmer gesen- 
deten Statusmeldungen beim Empfang im zweiten 
aktiven Busteilnehmer von diesem auf den Bus is 
zum ersten aktiven Busteilnehmer zuruckubertra- 
gen werden und umgekehrt. 

19. Verfahren nach Anspruch 14. 
dadurch gekennzeichnet, 

dass die vom ersten und/oder zweiten aktiven Bus- 
teilnehmer ausgesendeten Statusmeldungen von 
jedem Busteilnehmer Obenwacht werden und dass 
bei Ausbleiben einer Statusmeldung Innerhalb der 
vorgegebenen Zeitspanne oder Abweichung von 25 

einer einem fehlerfreien Zustand des Bussystems ■ 
zugeordneten Form uberpruft werden und wobei 
dann, wenn der Empfang der Statusmeldungen 
innerhalb einer vorgegebenen Zeitspanne in 
zumindest einem der Busteilnehmer unterbleibt 3o 
Oder von zumindest einem der Busteilnehmer Sta- 
tusmeldungen empfangen werden, die von einer 

einemjehlerfre^ . . . . 

urns zugeorcJneten Form abweicheri, das Bussy- 
stem in einen einem Sicherheitskriterium zuge- 35 
ordneten Zustand versetzt wird. 

20. Verfahren zur Uberwachung eines Ubertragungs- 
mediums eines seriellen Bussystems mit an einem 
Ende vorhandenen ersten aktiven Busteilnehmer 4o 
und am anderen Ende vorhandenen zweiten akti- 
ven Busteilnehmer sowie von dem Ubertragungs- 
medium physisch durchgeschleifte weitere 
Busteilnehmer, : , * 
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wobei der erste und/oder zweite aktive Busteil- 
nehmer regelmSBig mit einer vorgegebenen 
hohen Taktrate Statusmeldungen auf den seri- 
ellen Bus aussendet und/oder empfangt und 



so 



wobei dann, wenn der Empfang der Statusmel- 
dungen innerhalb einer vorgegebenen Zeit- 
spanne in zumindest einem der aktiven 
Busteilnehmer unterbleibt oder von zumindest 
einem der aktiven Busteilnehmer Statusmel- ss 
dungen empfangen werden, die von einer 
einem fehlerfreien Zustand des Ubertragungs- 
mediunns zugeordneten Form abweichen, das 



9 



BNSDOCID: <EP 0837394A2> 




NSOCXyD:<EP 0837394A2> 




BNSDOCtD: <EP 0837394A2> 



EP 0 837 394 A2 




>fSDOCID:<EP 0837394A2> 



12 




BNSDCXID: <EP 0837394A2> 



HIS PAGE BLAMKOBTOl 



MNVIflaOVdSIIU 



(19) 



J 




(12) 



EuropdischesTatentamt 
European Patent Office 
Office europ6en des brevets (11) EP 0 837 394 A3 

EUROPAISCHE PATENTANMELDUNG 



(88) Ver6ffentlichungstag A3: ; , 


f51^ int CI ^ G06F 11/20 G06F 11/16 


1 9 05 1 999 Patentblatt 1 999/20 


QOoB 19/05 


(43) VerOffentlichungstag A2: 




22.04.1 998 Patentblatt 1 998/1 7 




(21) Anmeldenummer: 97118020.3 




(22) Anmeldetag: 17.10.1997 




(84) Benannte Vertragsstaaten: 


• Ziegler, Olaf 


AT BE CH DE DK ES Fl FR GB GR IE IT LI LU MC 


56379 Gellnau (DE) 


NLPTSE 


• Schneider, Volkmar 


Benannte Erstreckungsstaaten: 


35719 Angelburg (DE) 


AL LT LV RO S! 


• ThOrlnger, Rainer, Prof. Dr. 




35398 Glessen (DE) 


(30) Prioritat: 18.10.1996 DE 19643092 




(74) Vertreter: 


(71) Anmelder:. 


Stoffregen, Hans-Herbert, Dr. Dipl.-Phys. 


Elan Schaltelemente GmbH 


Patentanwalt 


D-35435 Wettenberg (DE) 


Postfach 21 44 




6341 1 Hanau (DE) 


(72) Erfinder: 


• Kramer, Manfred 




35396 Glessen (DE) 





CO 

< 

CD 
CO 

CO 
CO 

o 

Q. 
LU 



(54). Ausfallslcheres Bussystem 

(57) Gegenstand der Erf indung ist ein serielies Bus- 
system mit zwei Datenleitungen (10. 12), an die an 
einem Ende ein zentraler Busteilnehmer (14) und am 
anderen Ende ein aktiver Busteilnehmer (16) ange- 
schlossen sind. Der zentrale und der aktive Busteilneh- 
mer senden Statusmeldungen auf den Bus (10, 12), von 



denen die Busleitungen in den Busteilnehmern (18, 20) 
zwischen den beiden Enden physisch durchgeschleift 
sind. Bei Ausbleiben der Statusmeldungen oder Fehler 
anzeigenden Statusmeldungen versetzt der zentrale 
Busteilnehmer (14) das Bussystem in einen Fail-Safe- 
Zustand. 
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